【要約】How 2FA "spraying" allowed attackers to steal Dashlane users' password vaults [Ars_Technica] | Summary by TechDistill
> Source: Ars_Technica
Execute Primary Source
// Problem
攻撃者がDashlaneのデバイス登録APIを悪用し、認証プロセスを突破しようとした。攻撃者は単一のアカウントを狙うのではなく、広範囲なユーザーを標的にした。
- ・デバイス登録用のAPIエンドポイントを標的にした。
- ・大量のユーザーに対し、6桁のワンタイムコードを自動送信した。
- ・多数のアカウントへ試行を分散させ、レート制限を回避した。
- ・統計的な確率を利用して、一部の有効なトークンを奪取した。
- ・これにより、認証プロセスをバイパスしてVaultをダウンロードした。
// Approach
Dashlaneは自動セキュリティシステムを稼働させ、攻撃への即時対応を行った。システムは異常な挙動を検知し、被害の拡大を最小限に抑えるための措置を講じた。
- ・異常なリクエストを検知し、対象アカウントを自動ロックアウトした。
- ・Argonアルゴリズムを用い、マスターパスワードの解読を困難にした。
- ・全てのデータフィールドを暗号化し、情報の露出を防いだ。
- ・アルゴリズムの自動更新により、最新の攻撃手法への耐性を維持している。
- ・ユーザーのマスターパスワードの強度に依存した防御層を構築した。
// Result
攻撃は早期に検知・遮断され、被害規模は極めて小さく抑えられた。Dashlaneの防御策が機能し、大規模な情報漏洩は回避された。
- ・ダウンロードされたVaultは20件未満の個人プランユーザーのみである。
- ・強力なマスターパスワードを使用していれば、解読の可能性は低い。
- ・影響を受けたユーザーには個別に通知が完了している。
- ・LastPassの事例と比較し、暗号化の徹底とアルゴリズムの強固さが証明された。
Senior Engineer Insight
> APIのレート制限設計において、単一アカウントの監視だけでは不十分だ。今回のように、多数のアカウントへ分散する「スプレー攻撃」への対策が不可欠である。また、デバイス追加等の重要操作には、単なるコード入力だけでなく、より厳格なコンテキスト検証を組み込むべきだ。Argonのような計算コストの高いハッシュ化は、万が一のデータ流出時における最終的な防御層として極めて強力である。